shit，几天没看服务器，被人植入了挖矿病毒。

wyjistest · 发表于 2024-4-25 09:43:58

今天登上去看了一下，有一个kthreadd进程，占满了CPU，当时就感觉不太对劲。细查了一下发现是挖矿病毒，然后和它斗智斗勇，最后把它删了。

检查了/var/log/auth.log发现是被ssh爆破了，然后装了个fail2ban，现在已经ban了十几个IP了，有没有MJJ爆破这些IP。

133.242.144.237
146.190.21.162
92.118.39.14
193.32.162.15
193.32.162.11
193.32.162.79
193.32.162.12
92.118.39.17
196.245.250.10
193.32.162.63
45.55.157.158
193.32.162.76
193.32.162.83
192.241.148.203

wyjistest · 发表于 2024-4-25 09:52:50

Miriam 发表于 2024-4-25 09:47
是不是ssh密码太简单了？我的都是12位起步的混合密码

是有点简单，和用户名一样，被扫到了，立马改了复杂密码

wyjistest · 发表于 2024-4-25 10:41:55

似毛非毛发表于 2024-4-25 10:20
爆破这种ip又没用。都是肉鸡干的。你应该把它挖矿的地址去举报了。。让他一毛钱都没有。 ...

也是，说不定都是受害者。

wyjistest · 发表于 2024-4-25 11:54:07

icon 发表于 2024-4-25 11:46
检查了/var/log/auth.log发现是被ssh爆破了??? 谁家没有一大堆扫描记录，你以为这就是被黑原因？ :lo ...

我草，那应该咋排查，大佬指指路。

wyjistest · 发表于 2024-4-25 12:00:43

gitee 发表于 2024-4-25 11:58
用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

已经改成12位复杂密码了，但是爆破还在持续，fail2ban已经拉黑了55个IP了。

		自动登录	找回密码
密码			注册

[美国VPS] shit，几天没看服务器，被人植入了挖矿病毒。